Привет, я основатель учебного центра "Академия Кодебай". Этот пост — не скрытая реклама, а честный разбор нашего курса WAPT с точки зрения организаторов и реальных отзывов студентов.
Зачем пишу:
- На форуме регулярно спрашивают про обучение пентесту
- Много мифов о том, "чему реально учат на курсах"
- Хочу показать изнутри: что работает, что нет, для кого подходит
Disclaimer: Да, мы заинтересованы в продажах. Но также заинтересованы в том, чтобы студенты не разочаровались после покупки за 90к. Поэтому буду честен о сложностях, требованиях и ограничениях.
Что такое WAPT: факты без воды
WAPT расшифровывается как Web Application Penetration Testing — тестирование веб-приложений на проникновение. Это наш бестселлер с самыми большими потоками студентов.Почему популярен:
- Дефицит специалистов: На рынке не хватает хороших пентестеров по вебу
- Развитие Bug Bounty: В России появились компании, где можно легально искать уязвимости за деньги
- Практическое применение: Студенты сразу применяют навыки в Bug Bounty на реальной инфраструктуре
Структура курса
13 модулей | 60+ практических заданий | 3-4 месяца обученияТемы:
- Пассивная/активная разведка (OSINT, фаззинг)
- SQL-инъекции (акцент на ручные методы)
- XXE, CMD, PHP-инъекции
- SSTI/SSRF
- Системные уязвимости (эксплуатация CVE)
- Misconfigurations
- Обход авторизации
- Клиентские атаки (XSS, CSRF)
- Privilege Escalation
Методика обучения
- Try Harder подход: Кураторы НИКОГДА не дают прямых ответов
- CTF-формат: Каждое задание = флаг для сдачи
- Автономная платформа: Своя лаборатория (после полной модернизации)
- Еженедельные вебинары: Алексей (действующий пентестер) разбирает сложные моменты и делится опытом реальных пентестов
Главное отличие: лаборатория и философия кураторов
Слова куратора курса Александра Медведева:Александр — лид команды по безопасности устройств в крупной международной компании, обладатель OSCP, CEH, PPT, INK и других сертификатов, пятикратный чемпион StandOff с командой CDB. Больше 10 лет в ИБ."Главная причина популярности курса — лаборатория. Более 60 заданий, поделенных на блоки по типам уязвимостей. В отличие от Hack The Box, у нас есть постоянная поддержка кураторов."
Сравнение с HTB
Параметр | WAPT Codeby | Hack The Box |
---|---|---|
Кураторы | Да, активные | Нет |
Объём | 60+ заданий | ~50 (Web Path) |
Язык | Русский | Английский |
Вебинары | Еженедельно | Нет |
Важный момент: Куратор не знает конкурентов в России с такой же большой и объёмной лабораторией. HTB больше, но там нет поддержки — всё в автоматическом режиме.
Хотите увидеть лабораторию вживую?

Философия "Try Harder" — самое противоречивое
Студентам никогда не дают прямых ответов на задания. Основная задача куратора — направить в правильную сторону.Типичный диалог:
Почему так:Студент: "Я не могу найти уязвимость"
Куратор: "Думай в эту сторону, ищи в эту сторону"
Пентест — это творчество. Запомнить всё невозможно, можно лишь дать алгоритм мышления. Основная цель — развить навыки, которые пригодятся в реальной жизни, пентестах и Bug Bounty.
Как студенты реагируют (слова куратора):
Часто после небольшой подсказки студенты сами находят решение и пишут: "Блин, как же я сам об этом не подумал!" После этого они "копают до победного" в следующих блоках."В начале некоторые ругаются: 'ничего не получается, не подсказывают, очень тяжело'. После сдачи экзамена пишут: 'Спасибо, что не подсказывали напрямую. Теперь я знаю определённые техники и у меня сложилась полная картина'."
Три истории студентов
История 1: Артём — "С нуля до сдачи за 3 месяца"
Входные данные:- Проходил другие курсы ИБ (очные, "по методичкам")
- Знания SQL: нулевые
- Сомнения: "Курс помечен как сложный"
Адаптация (месяц 1-2):"Открыл методичку и немного расстроился — это больше похоже на самообучение, к чему у меня всегда были сложности"
Вебинары:"Открывал теорию и параллельно пытался делать практику — такой подход вполне устроил. Каждую неделю ждал новых заданий как наркоман. При открытии нового урока все задачи прошлого были завершены на 100%"
Экзамен (3 месяца):"Через 2 месяца начались вебинары — посетив их, сразу заполнил пробелы и набрался дополнительных знаний. Александр очень хорошо рассказывает материал — о сложных вещах простыми словами"
- Все задания решены на 100%
- Экзамен сдан с первой попытки (1 марта)
- "Hard задачи показались легче, чем easy — было сразу понятно, в какую сторону копать"
Результат: Отдохнул и вернулся на 10-месячный курс по пентесту инфраструктуры."Был на многих курсах ИБ очно — сидишь 5 дней в классе и делаешь лабы по методичкам, как дурак по инструкции. Никаких навыков не получаешь от слова совсем. Тут же очень понравился подход с заданиями. Входный порог на самом деле очень низкий — главное стараться."
История 2: @fnay_offensive — "От SQLMAP к ручному пентесту"
Входные данные:- Уже работал в пентесте
- "Никогда не использовал ручной метод SQL-инъекций, только SQLMAP"
- Потратил 70,000₽ (старая цена курса)
Самый сложный блок — SQL-инъекции:"Рассматривал давно, но последним 'Да' добили новые знакомые — бывшие студенты, которые стали кураторами и сейчас занимают крутые должности"
Что сделал:"Блок обучил меня с нуля раскручивать SQLi, писать самописные PoC. Для меня, который не знал ручной метод, блок показался довольно сложным. Даже после полного прохождения курса я перепроходил все таски заново и добивал нерешённые ХАРДЫ"
- Разработал roadmap по 52 векторам ручных SQL-атак (против 4 автоматических)
- Написал Python-скрипты для Blind SQLi
- Создал заметки с частыми командами по разным векторам атак
Самое неприятное:"Хорошая заметка про саму подачу: видео (в котором приятный голос рассказывает что и как) + документы PDF с полным объяснением"
Оценка: 9/10"Вытаскивать данные через 'Слепые инъекции' чистым ручным перебором. Но никто не запрещает писать свои скрипты, которые превращают работу в ожидание положительного результата"
Почему не 10:
"В материалах была теория по Windows, но на практике заданий под неё не оказалось. Хотелось бы больше реальных кейсов"
История 3: Дарья — начинающий специалист
Курс: "Анализ защищённости веб-приложений" (подготовительный перед WAPT)Что понравилось:
Главная ценность:"К лекциям прикреплены методички в текстовом виде — все этапы работы расписаны. В занятиях нет воды, всё показано и рассказано в таком объёме, чтобы не нагружать многочасовыми лекциями, но дать всестороннюю информацию"
"Считаю, что курс нужен для того, чтобы дать ориентир, с чего начать изучение. Заинтересованный человек начнёт искать больше информации в интернете и будет набираться опыта — что гораздо эффективнее, чем дать всю информацию в лекциях"
Типичные траектории других студентов
Новички (0 опыта в пентесте):- Первый модуль (пассивный фаззинг) = камень преткновения, фраза "Try Harder" становится мантрой
- К 3-му месяцу появляется понимание методологии
- Экзамен сдаётся, но требует всех 24 часов
- Быстро проходят базовые модули
- Застревают на SSTI, PHP-инъекциях (нетривиальные bypass)
- Некоторые решают задания способами, которых нет в методичках (куратор: "На курс приходят учиться не только новички, но и специалисты с опытом")
Честные ответы на сложные вопросы
Сколько реально нужно времени?
Официально: 3-4 месяцаРеально (по отзывам):
Минимум для успешной сдачи:
- 10-15 часов/неделю (теория + практика)
- + вебинары (1.5 часа/неделю)
- + экзамен (24 часа, но можно за 12-16)
- 20-25 часов/неделю (с перепрохождением сложных задач)
Цитата @fnay_offensive: "Сидишь днями и думаешь 'чёрт, почему БРЕД не переходит по моей ссылке'"
Важно: Курс позиционируется как один из самых сложных в академии и является настоящим испытанием, требующим значительных временных затрат.
Цена 89,990₽ — за что платишь?
Альтернативы:- Дешевле: HTB Academy (~$300), но без кураторов
- Дороже: OffSec OSCP (~$2500), на английском и сложнее
- Бесплатно: PortSwigger Web Security Academy, но нет структуры и поддержки

- Нужна структура обучения
- Важна поддержка на русском
- Цель — трудоустройство в РФ/СНГ

- Есть опыт и нужен только сертификат (возьмите OSCP)
- Ограниченный бюджет (начните с PortSwigger бесплатно)
- Нужен международный сертификат (OSCP, eWPT ценятся выше на западном рынке)
Трудоустройство: что реально?
Официально (слова куратора):Честный вывод: Курс даёт навыки, но НЕ гарантирует работу."На основе успеваемости (решение заданий, максимальные очки, сдача экзамена) формируется таблица лучших студентов курса для помощи с трудоустройством"
Что нужно после курса:
- Практика (свои проекты, CTF, Bug Bounty)
- Постоянное развитие (слова куратора: "Прохождение курса — это не конечная точка")
- Поиск сил для профессионального роста
Для кого курс НЕ подходит (критично!)
Вы ожидаете "лёгкого входа в ИБ"
Курс сложный даже для IT-специалистов. Try Harder подход фрустрирует многих в начале.Нулевые знания Linux
Требуемые знания для курса:- Понимание того, как работают веб-запросы
- Уверенное владение Linux (основное взаимодействие с ПО происходит в этой ОС)
- Базовое понимание работы веб-приложений, SQL, FTP-серверов
Нужен международный сертификат
WAPT ценится в РФ/СНГ, но не имеет веса на Западе. Для международного рынка: OSCP, eWPT, GWAPT.Хотите готовых инструкций "нажми кнопку"
Цитата Артёма про другие курсы: "Делаешь как дурак по инструкции — никаких навыков не получаешь"WAPT требует самостоятельного мышления.
Ограниченное время (< 10 часов/неделю)
При 5-7 часах/неделю курс растянется на 6-8 месяцев. Знания забываются, экзамен станет сложнее.
Для кого идеально подходит
- Есть базовые знания Linux и веб-технологий
- Готовы вкладывать 10-15 часов/неделю
- Цель: карьера пентестера в РФ/СНГ или Bug Bounty
- Нужна структура (самообучение не работает)
- Важна поддержка на русском языке
- Хотите прокачать мышление, а не просто получить сертификат
- Junior-специалисты с IT базой
- Будущие специалисты Red Team, пентестеры, аналитики веб-приложений
- Специалисты Blue Team/SOC (сейчас активно появляются Purple Teams, требующие навыков из обоих направлений)
Технические нюансы (честно)
Что работает не идеально
Платформа:- Была проведена полная модернизация лаборатории и переход на новую платформу — старая перестала справляться с большим количеством студентов
- Новая платформа повысила удобство работы
- Иногда возникают технические неисправности, но администрация решает оперативно
- Через WAPT_bot может теряться персональный контакт
- Ответы кураторов иногда приходится ждать дольше
- В чате потока можно получить помощь от других студентов
- Теория по Windows есть, практики нет (главная претензия от @fnay_offensive)
- Методички постоянно дорабатываются для актуальности
- Задания улучшаются, добавляются новые
- Формат 24 часа пугает новичков (но это гибкость — можно выбрать любое удобное время)
- С осени планируется возможность сдачи с прокторингом по желанию студента (сам экзамен не будет усложнён)
Итоговая оценка
Общая оценка академии на tutortop: 4.62 звезды при 60 голосахWAPT позиционируется как:
- "Бестселлер" академии
- "Один из самых сильных курсов по Web Security в русскоязычном интернете"
- "Самый крутой курс в СНГ" по тестированию на проникновение веб-приложений

- Лаборатория — лучшая в СНГ (60+ заданий)
- Кураторы — Try Harder работает долгосрочно
- Практическая направленность — формат CTF сохраняет знания
- Комьюнити — тесные взаимосвязи между студентами

- Нет Windows-практики (только теория)
- Технические баги на платформе
- Сложность курса отсеивает многих
- Дорого для российского рынка
Junior-специалисты с базой, готовые вкладывать время и силы
Кому НЕ рекомендую:
Абсолютные новички без знания Linux, люди с ограниченным временем, те, кто хочет международный сертификат
Видеообзор от преподавателя
Хотите услышать мнение самого куратора курса о плюсах и минусах WAPT?
Наверняка у вас есть что сказать
Если вы:- Проходили WAPT — поделитесь опытом (особенно критикой)
- Рассматриваете курс — спрашивайте, отвечу честно
- Сравниваете с другими курсами — давайте обсудим
Ссылка на лендинг курса: Курс Тестирование WEB-приложений на проникновение
Календарь запуска курсов: Расписание курсов | Codeby Academy
Цель этого поста — не продать курс любой ценой, а помочь принять осознанное решение. 90,000₽ — серьёзные деньги, и я не хочу, чтобы вы их потратили зря.
Потраченные средства должны себя полностью оправдать — как написал один из студентов. Но это произойдёт только если вы подходите под профиль курса и готовы вкладывать время.